全國CA互認路線的分析與實踐
引言
近年來����,國家連續(xù)出臺政策����,旨在優(yōu)化營商環(huán)境,推動全國統(tǒng)一大市場的加速建設�,降低經(jīng)營主體的交易成本,并促進招標采購行業(yè)實現(xiàn)全流程電子化����。其中,實現(xiàn)跨區(qū)域�����、跨平臺的CA互認被視為關鍵的支撐措施����。本文圍繞CA互認研究,分析技術路線����、移動CA互認框架、技術關鍵要點���,并總結實踐驗證情況�����。通過對這些問題的深入研究����,希望能夠幫助讀者加深對CA互認技術方案的了解�,同時為解決全國統(tǒng)一大市場建設中面臨的技術問題,提供可借鑒的工作方法��。
一����、CA互認的技術路線分析與選擇過程
從實踐來看,實現(xiàn)網(wǎng)絡共享CA數(shù)字證書的技術路線主要分為基于硬件CA和移動CA兩種���。
(一)硬件CA互認
基于硬件CA的互認主要有兩種技術實現(xiàn)方法:一是對各CA機構和印章機構的現(xiàn)有驅動程序集中打包��;二是國家開發(fā)統(tǒng)一驅動接口包���。
2014年至2017年,國家層面和地方層面均在開展全國硬件CA互認共享的探索����。同時���,部分省份的公共資源交易平臺也開展了本省內(nèi)的硬件CA互認。從實踐應用來看�����,硬件CA互認存在四個不易解決的問題:
一是對現(xiàn)有技術依存度大���,對CA機構的底層驅動技術和交易平臺的對接開發(fā)改造依賴度很大��;
二是對接工作量大 �����,每實現(xiàn)一家CA機構互認�����,都需完成從底層驅動到交易平臺的技術對接�����,對接難度大�����、對接工作量繁重�����;
三是硬件介質鎖的痛點仍在�,包括CA辦理效率低��、攜帶和使用不方便����、驅動包升級困難、CA機構擴容難度大等�;
四是相關各方的權責利關系錯位,發(fā)鎖的收費方和提供用鎖的服務方之間責權利錯配��。
(二)移動CA互認
2020年2月�,國家發(fā)改委在170號文中首次提出加快推進移動CA應用。移動CA技術方案是通過開發(fā)公共資源交易領域全國統(tǒng)一的CA互認共享組件和全國統(tǒng)一的互認標準二維碼來實現(xiàn)全國CA互認��。
移動CA互認相對于硬件CA互認具有顯著優(yōu)勢��,主要體現(xiàn)在五個方面:一是去除物理介質�,無驅動���,CA機構可“秒”擴容;二是和交易平臺的技術對接簡單����,時間短;三是通過手機在線辦理���,使用便捷成本低����,體驗好�����;四是有效兼容現(xiàn)有存量硬件CA鎖����;五是在線授權與記錄,主體行為可追溯�,便于監(jiān)管。
為落實國務院24號文�����,根據(jù)857號文、54號文要求���,國家發(fā)展改革委指導中國招標投標協(xié)會建立雙周協(xié)調調度會議機制���,先后召開 5 次調度會,及時調度各地方和企業(yè)工作進展情況�,中國招標投標公共服務平臺分別對試運行網(wǎng)絡共享 CA 數(shù)字證書的13家試點單位提出的具體問題和建議做進一步解答回復���,大力推進技術標準驗證��,確保驗證工作如期完成���。
目前,移動CA互認技術標準驗證已經(jīng)取得一定成果����,下一步將擴大驗證范圍。
二����、移動CA互認框架研究
(一)CA互認原則
移動CA互認遵循四大原則:一是支持經(jīng)營主體自主選擇APP、CA證書,切實減輕經(jīng)營主體負擔�����;二是充分兼容各類交易平臺技術路線和CA應用現(xiàn)狀��,開放接入所有符合標準的CA機構和印章機構����;三是嚴格執(zhí)行數(shù)據(jù)安全法律法規(guī),確?�!耙婪ㄒ酪?guī)���,安全可靠”�;四是根據(jù)24號文�����,以“只用一套證書”為目標���,實現(xiàn)全國范圍內(nèi)跨行業(yè)�、跨區(qū)域����、跨平臺一碼通行�����。
(二)移動CA互認思路
為提升電子交易平臺的便捷性����、安全性和跨平臺互操作性����,采取以下設計思路:一是基于移動CA并兼容硬件CA鎖;二是目錄共享和“點對點”互聯(lián)�����;三是使用入口上增設“互認入口” ���;四是付費模式上增加按時按量付費。
(三)移動CA互認總體結構
移動CA互認技術方案通過統(tǒng)一標準�����,開放接入符合國家和行業(yè)標準的各類APP�����、所有CA機構和所有印章機構;各交易平臺側前置安裝部署CA互認共享組件和展示全國互認標準二維碼����,經(jīng)營主體在交易平臺上通過該CA互認共享組件實現(xiàn)各個平臺與平臺之間“點對點”數(shù)據(jù)授權直聯(lián)互認共享。
另外��,各交易平臺上是增加全國互認入口��,依然保留?����。ㄆ脚_)本地入口�����,兼容平臺現(xiàn)有硬件CA鎖�����,存量用戶使用不受影響��。
(四)移動CA互認路徑
交易平臺加入CA互認網(wǎng)絡后���,經(jīng)營主體漫游使用移動互認CA進行交易的路徑分為四步:
第一步��,自主選擇APP�。經(jīng)營主體可在交易平臺所支持的互認共享APP目錄中自主選擇APP進行下載;
第二步�����,申請平臺證書��。經(jīng)營主體在交易平臺上自助選擇辦理CA證書��;
第三步����,開通漫游。經(jīng)營主體可在任一支持全國移動CA互認的APP上���,開通漫游服務。
第四步��,掃碼使用�����。經(jīng)營主體在任一參與全國互認的交易平臺上掃描全國共享CA互認入口二維碼,進行注冊或登錄完成身份認證�����、電子簽章簽名和加密解密等操作�。
三、移動CA互認技術關鍵點
當前����,招標采購行業(yè)CA應用現(xiàn)狀呈現(xiàn)出經(jīng)營主體數(shù)量龐大、交易時效性要求嚴苛以及區(qū)域內(nèi)互認的特點����。由于CA本身的這些發(fā)展特點,讓移動CA互認方案面臨眾多技術難點�����,如兼容性��、技術對接�、網(wǎng)絡結構、數(shù)據(jù)共享路徑�����、解密失敗應對等等。
(一)關鍵點一:與平臺現(xiàn)有硬件CA鎖的兼容
移動CA互認技術方案保留?��。ㄆ脚_)本地入口���,增加全國互認入口,兼容平臺現(xiàn)有硬件CA鎖����,存量用戶使用不受影響。并滿足本平臺以外跨區(qū)域投標企業(yè)需求�,實現(xiàn)異地平臺共享登錄,簽名蓋章和加密解密��。
(二)關鍵點二:移動CA互認網(wǎng)絡結構問題
互認網(wǎng)絡有級聯(lián)和互聯(lián)兩種方式����,級聯(lián)結構依賴單點,存在卡頓風險�����,互聯(lián)結構不受中心化節(jié)點影響�,更穩(wěn)定����,更開放�。移動CA互認技術方案采用互聯(lián)結構����,即分布式部署網(wǎng)絡結構。經(jīng)營主體可通過CA互認共享組件實現(xiàn)各個平臺之間“點對點”數(shù)據(jù)授權直聯(lián)互認共享�����,從而避免因單一中心化節(jié)點負載過高導致全國范圍內(nèi)市場主體無法完成投標和開標的故障��。
(三)關鍵點三:移動CA互認數(shù)據(jù)共享路徑
數(shù)據(jù)共享有國家統(tǒng)一集中的中心化和交易平臺多中心化兩種方式��,中心化方式存在數(shù)據(jù)安全隱患高�����、成本高的問題����,多中心化方式則更穩(wěn)定、性能更好��。移動CA互認技術方案采用多中心化數(shù)據(jù)共享�����。
(四)關鍵點四:移動CA互認與各省及央企平臺主體庫的共享
移動CA互認技術方案的省內(nèi)分布式共享與集中式共享兩種模式兼容各省及央企主體庫,不影響目前管理模式����。
省內(nèi)分布式共享是指經(jīng)營主體通過掃碼登錄交易平臺時,數(shù)據(jù)信息先授權推送到交易平臺��,再同步給各省及央企平臺統(tǒng)一主體庫�����。
省內(nèi)集中式共享是指經(jīng)營主體通過掃碼登錄交易平臺時���,數(shù)據(jù)信息先推送到各省及央企平臺統(tǒng)一主體庫�����,再將經(jīng)營主體的數(shù)據(jù)信息推送給交易平臺�����。
(五)關鍵點五:移動CA互認后解密失敗應對機制
從以往的案例來看�����,由于CA證書問題導致投標文件解密失敗取消投標資格的現(xiàn)象屢見不鮮����。
移動CA互認技術方案通過預解密控件��、備份信封���、鏈上保障等交易保障措施應對移動CA互認解密失敗�,確保投標解密萬無一失�����。
(六)關鍵點六:兼容電子營業(yè)執(zhí)照
2023年4月����,國辦電子政務辦組織編制了《電子證照擴大應用領域和全國互通互認 2023 年重點任務分工方案(征求意見稿)》,提出在公共資源交易領域推廣和擴大電子營業(yè)執(zhí)照��、電子簽章電子合同聯(lián)合應用��,實現(xiàn)招投標領域全流程數(shù)字證書跨地區(qū)�、跨平臺互認,支持地方探索電子營業(yè)執(zhí)照在交易平臺的應用,基本實現(xiàn)“一照通行”“一照通投”�。
移動CA互認技術方案預留電子營業(yè)執(zhí)照集成接口,支持通過APP使用電子營業(yè)執(zhí)照實現(xiàn)“一照通投”�����。
(七)關鍵點七:遠程異地評標專家移動CA互認
在遠程異地評標中���,專家數(shù)字證書可以采用移動CA�,通過密鑰分割技術將證書保管在手機等智能終端上���,使用時通過掃描二維碼進行簽字�;針對交易中心���、部分央企評標室不能攜帶手機的情況�,也可以將數(shù)字證書保管在服務端�����,通過專家刷臉等授權管理方式���,保證密鑰的調用經(jīng)密鑰所有權人的合法授權��。
(八)關鍵點八:移動CA互認與交易平臺內(nèi)簽章互認
移動CA互認技術方案先采取“誰簽誰驗”方式��,通過統(tǒng)一的CA互認簽章工具集成各平臺簽章控件���,投標人在某個平臺上參與交易時自動切換至該平臺使用的簽章控件,從而實現(xiàn)一個平臺僅使用同一簽章控件���。
目前�,國家層面已經(jīng)建設統(tǒng)一的電子印章管理平臺�,在中國招標投標協(xié)會指導下,中國招標投標公共服務平臺正在與公安部電子印章開展技術驗證�。隨著國家級統(tǒng)一電子印章管理平臺的建設應用,移動CA互認技術方案最終能實現(xiàn)“互簽互驗”��。
(九)關鍵點九:省內(nèi)���、跨省區(qū)域與全國互認的關系
目前����,部分地方實現(xiàn)省內(nèi)和區(qū)域內(nèi)的CA互認�,但由于各省、各區(qū)域內(nèi)的二維碼格式不一致����,所以不支持跨省CA互認���。移動CA互認技術方案通過全國統(tǒng)一共享互認二維碼,同時兼容省內(nèi)CA互認和區(qū)域互認�,實現(xiàn)全國范圍內(nèi)的CA互認。
(十)關鍵點十:兼容支持多APP接入
移動CA互認技術方案本著共性�����、中立的原則���,兼容開放多APP接入����,實現(xiàn)經(jīng)營主體可自主選擇任一APP����。目前,已有7家APP接入驗證���,其中中招互連APP率先完成對接和測試���,證明了技術方案的可行性�����。
四�、移動CA互認實踐驗證
截止2024年3月3日���,移動CA互認在13家驗證平臺上線試運行�,掃碼注冊登錄����、掃碼簽名簽章��、掃碼加解密人次共計85萬次����,開通移動證書3500多張。移動CA互認技術方案驗證效果總結主要體現(xiàn)在五個方面:
首次實現(xiàn)跨區(qū)域全國互認����,包括省市兩級公共資源交易系統(tǒng)、央國企和第三方各類交易平臺�。涉及多個開發(fā)單位異構系統(tǒng)。
第二��,實現(xiàn)公共資源交易全領域覆蓋,本次驗證的交易平臺涵蓋了市政��、房建����、水利等公共資源交易全部領域。
第三�����,交易平臺對接便捷快速�,僅1個半月的時間,驗證交易平臺都完成全部功能改造并正式部署上線����。CA互認共享組件還同步接入了數(shù)十家CA機構。
第四����,有效降低經(jīng)營主體成本,驗證的13家平臺���,平均每個投標人漫游3個交易平臺�,證書費用大概降低30%����。辦理時間大幅縮短�����。
第五���,確保CA互認“零失敗”,通過結合聯(lián)盟區(qū)塊鏈提供交易保障服務���,避免物理CA鎖涉及驅動環(huán)境兼容和設備故障等問題導致CA無法正常使用的問題����。
結語
全國CA互認路線的研究與實踐����,應致力于探究和實現(xiàn)一種高效�、安全的CA互認技術路線。通過深入研究CA互認的技術路線���、移動CA互認框架的構建�����、技術關鍵點的攻克以及實踐驗證過程���,CA互認技術方案已經(jīng)取得了一系列積極的成果�。下一步�,在國家政策指導下,中招互連將遵循該技術方案���,積極實踐推廣��,不斷優(yōu)化和完善CA互認技術����,為推進全國統(tǒng)一大市場貢獻力量�����。
北京中招互連應用科技有限公司 胡志高 楊傳平 毛瑩
